رفعت لجنة الأمن والتبادل الأمريكية (SEC) عدسة مكبرة لخبرة الأمن السيبراني للمؤسسة.
الأصلي اقتراح من SEC في مارس 2022 ، قالت إنها تريد من الشركات الإعلان علنًا عن خبير في الأمن السيبراني في مجلس الإدارة وآخر داخل الإدارة. اليوم ، تراجعت لجنة الأوراق المالية والبورصات شرط وجود خبير في مجلس الإدارة - على الرغم من أنه لا يزال يريد "المسجلين أن يصفوا إشراف مجلس الإدارة على المخاطر الناجمة عن تهديدات الأمن السيبراني ودور الإدارة وخبرتها في تقييم وإدارة المخاطر المادية من تهديدات الأمن السيبراني".
وهذا يعني أن هيئة الأوراق المالية والبورصات (SEC) لا تضغط بنشاط من أجل الحصول على أوراق اعتماد خبير في الأمن السيبراني في مجلس الإدارة ، على الأقل في الوقت الحالي. لكنها لا تزال تصر على إبلاغهم بخبرة إدارة الأمن السيبراني.
لكن ما الذي يشكل هذه الخبرة؟ يتفق الخبراء على أن هذا سؤال صعب للغاية.
لم تحدد لجنة الأوراق المالية والبورصات بشكل صريح خبرة الأمن السيبراني ، تاركة هذا القرار الحاسم لكل شركة. أعطت تلميحات حول بعض المجالات الممكنة لتحديد تلك الخبرة ، مع ذكر الشهادات والدرجات الأكاديمية وخبرة العمل.
"على الرغم من أن القصد قد يكون ضمنيًا ، فإن قاعدة SEC المقترحة بشأن الإنترنت لا تتطلب في الواقع المزيد من الخبرة في مجال الأمن السيبراني في مجالس الإدارة أو في الإدارة العليا. قد لا تحدد ... القاعدة بوضوح ما الذي يشكل تلك الخبرة ، ولكن هذا لا يختلف عن متطلبات الإفصاح الأخرى التي وضعتها هيئة الأوراق المالية والبورصات للمديرين ، مثل الإفصاح عن الخبرة المالية للمديرين الذين يعملون في لجنة التدقيق "، كما يقول أندرو موريسون ، مدير شركة ديلويت للمخاطر والاستشارات المالية.
سيقرر السوق من هو الخبير
يقول العديد من المتخصصين الذين تمت مقابلتهم إن لجنة الأوراق المالية والبورصات (SEC) لن توافق على أوراق اعتماد أي شخص أو ترفضها وتحدد ما إذا كان يفي بالمتطلبات غير المحددة. سيترك ذلك للسوق.
يمكن أن يحدث ذلك بطريقتين. أولاً ، عندما تعاني المؤسسة من خرق مدمر للبيانات بشكل خاص ، قد يعاقب المساهمون والمستثمرون الشركة بخفض سعر سهمها إذا قررت قوى السوق هذه أن أوراق الاعتماد غير كافية. ثانيًا ، قد تعيد الشركة النظر في أوراق الاعتماد التي وافقت عليها في البداية إذا كانت جميع الشركات الأخرى في هذا القطاع تنتج خبراء يتمتعون بمؤهلات أكثر إثارة للإعجاب.
من المحتمل أن تأمل لجنة الأوراق المالية والبورصات في أن تخلق متطلبات الإفصاح الجديدة بعض المنافسة الصحية حول الأمن السيبراني. يقول بريان ليفين ، العضو المنتدب لشركة EY (إرنست ويونغ سابقًا):
عندما سئل عما إذا كان يعتقد أن القاعدة الجديدة ستجعل المجالس التي تبحث عن أعضاء جدد تعطي الأولوية لتجربة الأمن السيبراني ، كان ليفين متشككًا ، لكنه يسمح بأنه "قد يكون على الأقل عامل فاصل".
الخبرة هي المفتاح
عند مناقشة الفئات التي شاركتها لجنة الأوراق المالية والبورصات ، فإن معظم المتخصصين في الأمن يركزون بشكل كبير على التجربة ، مع تأثر القليل منهم بمعظم الشهادات أو التدريب الجامعي. ومع ذلك ، فإن الشهادات الأكثر شيوعًا - بما في ذلك أخصائي أمن نظام المعلومات المعتمد (CISSP) ، ومدقق نظم المعلومات المعتمد (CISA) ، و CompTIA Security + ، والهاكر الأخلاقي المعتمد (CEH) ، ومدير أمن المعلومات المعتمد (CISM) - ودرجات علوم الكمبيوتر تعتبر بشكل عام مفيدة لدور الإدارة ، إذا كانت محددة جدًا لدور مجلس الإدارة.
يقلق آندي إليس ، الشريك التشغيلي في YL Ventures ، من أن بعض الشركات ستعتمد بشدة على المقاييس التي يسهل قياسها - مثل الشهادات والدرجات - لأنها ستجعل من السهل العثور على الموهبة ، على افتراض أن الشركة تبحث عن هذه الإدارة خبير خارجيا.
يقول إليس: "يمكن لموظفي التوظيف إجراء بحث على Google استنادًا إلى المقاييس والعثور على المرشح المثالي الذي يتحقق من جميع المربعات ، حتى لو لم يكن مرشحًا جيدًا من الناحية النوعية".
بالنسبة لدور في مجلس الإدارة ، يقول إليس إن الأمر لا يتعلق بمعرفة الإجابات بقدر ما يتعلق الأمر به معرفة الأسئلة الصحيحة يسأل. إذا أخبر CISO مجلس الإدارة أنهم طبقوا أسلوب العائالت المتعددة MFA بشكل صحيح ، فهل يعرف عضو مجلس الإدارة ما يكفي عن أسلوب العائالت المتعددة MFA والمصادقة ليسأل ، "كم عدد العوامل التي نستخدمها وأيها نستخدمها؟ هل نستخدم أكثر الأساليب دقة صرامة أم أقل تكلفة وأقلها فعالية؟ " وعندما تأتي الإجابة ، هل سيعرف عضو مجلس الإدارة ما إذا كانت الإجابات صحيحة؟
يشك برايان ووكر ، الرئيس التنفيذي لشركة الاستشارات الأمنية The CAP Group ، في أن الشهادات مفيدة على مستوى Fortune 500. تتمثل القيمة الكبيرة لخبير الأمن السيبراني ، سواء في الإدارة أو في مجلس الإدارة ، في اتخاذ قرارات أمنية حاسمة على الفور ، مثل ما إذا كان هناك شيء ما يمثل انتهاكًا يمكن الإبلاغ عنه حقًا. يقول والكر ، "في أي مرحلة تكون الحادثة مادة؟ ببساطة تحديد ما إذا كان ماديًا أم لا ليس نشاطًا سريعًا. متى تعلن؟ "
تجنيد أم تدريب أم…؟
بالنسبة لمنصب مجلس الإدارة ، لدى المؤسسات طريقتان للذهاب: تعيين خبراء إنترنت حقيقيين للانضمام إلى مجلس الإدارة ، أو تحويل أعضاء مجلس الإدارة الحاليين إلى خبراء في الإنترنت.
الخيار الأول صعب. تضم شركات Fortune 500 دائمًا أعضاء مجلس إدارة من أحد الأماكن الثلاثة: الرؤساء التنفيذيون والرؤساء التنفيذيون السابقون لشركات أخرى ؛ المستثمرين من جميع الأنواع. وأعضاء مجلس الإدارة الداخليين ، وعادةً ما يكون الرئيس التنفيذي وإما المدير المالي أو مدير العمليات. من الصعب العثور على خبراء أمن إلكتروني حقيقيين في تلك المجموعات.
يقول إيغور فولوفيتش: "إذا كان كل ما يحتاجه مجلس الإدارة هو إظهار الخبرة وتركت هيئة الأوراق المالية والبورصات الباب مفتوحًا للمديرين الذين يظهرون خبرتهم من خلال شهادات الصناعة ، فسيتم الانتهاء من المدراء الحاليين في معسكرات تدريب الشهادات أو المدارس الإلكترونية التنفيذية" ، كما يقول إيغور فولوفيتش ، نائب الرئيس لاستراتيجية الامتثال في Qmulos. "بعد أن لاحظت هذه الجهود بشكل مباشر ، يمكنني أن أشهد على الفائدة المحدودة للغاية لمثل هذه الجهود."
• SEC تحاول معالجة قلة الاهتمام الجاد بالأمن السيبراني عادة ما يحظى به الأمن السيبراني في الشركات الكبيرة. سيقول أعضاء مجلس الإدارة بشكل عام أشياء داعمة حول امتلاكك تحمل منخفض للمخاطر وأهمية الحماية الأمنية.
ولكن عندما يصنع المجلس قرارات الميزانية ويفكر في منح CISO مزيدًا من السلطة ، فهم يميلون بشكل كبير إلى عدم دعم الأمن السيبراني بأفعالهم.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون السيارات / المركبات الكهربائية ، كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- BlockOffsets. تحديث ملكية الأوفست البيئية. الوصول هنا.
- المصدر https://www.darkreading.com/edge-articles/companies-must-have-corporate-cybersecurity-experts-sec-says
